[HACK] Re: Control IP: Inventario

[Martin Hoz]

RoMaN SoFt / LLFB wrote:
> 
>  Otra posible solución que se me ocurre es dejar corriendo un
> programita en plan "proxy-arp" respondiendo a arp-queries, de forma
> que cuando pregunten por una IP conocida le de la MAC correcta, y
> cuando le llegue una IP desconocida mande obligatoriamente una MAC que
> no exista, por ejemplo. De esta forma, si conseguimos que nuestro
> "sistema" responda al arp-query antes que nuestra máquina "atacante",
> estamos aislando a la citada máquina, ya que los demás sistemas
> intentarán "acceder" a una MAC incorrecta, por lo que no recibirán
> respuesta. La ventaja de esto frente a la idea descrita en el párrafo
> anterior es que solo hay que mantener una tabla ARP: la de nuestro
> programita (en vez de tantas como hosts haya, que sería el primer
> caso).

El caso es que este, y la mayoría de los casos expuestos, ignoran
el hecho de que una máquina puede tener doble tarjeta de red, y 
actuar como "proxy" de una o más máquinas detrás.

Desde mi punto de vista, una solución que involucre *además* de
alguna solución a capas bajas, autenticación de usuarios para
salir a usar servicios, podría ser una mejor solución, ya que
así habría que tener la MAC registrada (o la IP "amarrada" a la
MAC), mas los usuarios... 

Que se pueden robar el password. Bueno, para eso está S/Key y 
sistemas de autenticación fuerte.

Como en todo, también depende cuánto tiempo/dinero quieras invertir
en la solución, y qué tan grave sea tu paranoia... ;-)

Saludos.

-- 
Martin H. Hoz-Salvador
EX-A-IEC, EX-A-FIME
http://gama.fime.uanl.mx/~mhoz

"Gimme a firewall sandwich with packet filter bread and 
fast ethernet mustard. No pickles, please.” - A. A.
""'Firewall sandwich with load balancers' sounds good; I'll
 order two with extra mayonaise and a Coca Cola" - C. R. Wilson